În ultimul an, 58% din toate atacurile cibernetice ale actorilor statali observate de Microsoft au provenit din Rusia, iar acestea sunt din ce în ce mai eficiente, rata compromiterii cu succes a sistemelor ţintă crescând de la 21%, anul trecut, la 32% în acest an. Actorii statali din Rusia vizează din ce în ce mai mult agenţiile guvernamentale în scop de colectare de informaţii, înregistrându-se o creştere de la 3% din ţintele vizate, acum un an, la 53%; în mare parte este vorba de agenţii implicate în politica externă, securitatea naţională sau apărare. Primele trei ţări vizate de actorii statali din Rusia au fost Statele Unite, Ucraina şi Marea Britanie.
Acestea sunt doar câteva dintre informaţiile din cel de-al doilea Raport anual Microsoft Digital Defense pe care compania l-a lansat ieri şi care poate fi vizualizat gratuit aici. Raportul anual Microsoft Digital Defense acoperă perioada din iulie 2020 până în iunie 2021, iar concluziile sale privesc tendinţele observate cu privire la activitatea actorilor statali, criminalitatea cibernetică, securitatea lanţurilor de aprovizionare, munca în sistem hibrid şi dezinformarea.
Activitatea actorilor statali
Rusia nu este singurul actor statal ale cărui abordări evoluează, iar spionajul nu este singurul scop al atacurilor de anul acesta ale actorilor statali.
După Rusia, cel mai mare volum de atacuri, observat de experţii din cadrul Microsoft, a venit din Coreea de Nord, Iran şi China; Coreea de Sud, Turcia (o apariţie nouă în acest raport) şi Vietnam au fost, de asemenea, active, dar reprezintă un volum mult mai mic.
În timp ce spionajul este cel mai comun obiectiv pentru atacurile actorilor statali, unele activităţi ale atacatorilor dezvăluie alte obiective, inclusiv:
Iranul, care a vizat de 4 ori mai des Israelul în ultimul an şi a lansat atacuri distructive ca parte a tensiunilor sporite dintre cele două ţări
Coreea de Nord, care a vizat companiile de criptomonede pentru obţinere de profit, întrucât economia sa a fost decimată de sancţiuni şi de pandemia Covid-19
21% din atacurile provenind de la actorii statali, observate de Microsoft, au vizat consumatori şi 79% au vizat entităţi, cele mai vizate sectoare fiind guvernele (48%), ONG-urile şi grupurile de tip think-tank (31%), educaţia (3%), organizaţiile interguvernamentale (3%), IT-ul (2%), energia (1%) şi media (1%).
Deşi China nu este unică în ce priveşte scopul urmărit, cel de colectare a informaţiilor, Microsoft a remarcat faptul că mai mulţi actori statali chinezi au folosit o serie de vulnerabilităţi neidentificate anterior. Atacurile HAFNIUM care vizează Serverele Exchange locale au fost puternic mediatizate, dar, pe lângă vulnerabilitatea de tip "zero-day" utilizată în acele atacuri, Microsoft a detectat şi a raportat un atac Pulse Secure VPN zero-day şi un atac SolarWinds zero-day ceva mai devreme în cursul acestui an, ambele fiind exploatate de actori chinezi.
China foloseşte, de asemenea, colectarea de informaţii în diverse scopuri. Un actor chinez, CHROMIUM, a vizat entităţi din India, Malaezia, Mongolia, Pakistan şi Thailanda pentru a culege informaţii sociale, economice şi politice despre ţările vecine. Un alt actor chinez, NICKEL, a vizat ministere de externe din America Centrală şi de Sud şi din Europa. Pe măsură ce influenţa Chinei se schimbă odată cu Iniţiativa Naţională "Belt and Road", Microsoft se aşteaptă ca aceşti actori să continue să utilizeze culegerea de informaţii prin mijloace cibernetice pentru a afla date despre investiţii, negocieri şi influenţă. În cele din urmă, actorii chinezi sunt remarcabil de persistenţi; chiar şi după ce Microsoft a dezvăluit încercările Chinei de a colecta informaţii cu privire la persoane implicate în alegerile din 2020, actorul său ZIRCONIUM şi-a continuat activitatea în Ziua Alegerilor.
În total, Microsoft a notificat de 20.500 de ori în ultimii trei ani clienţii despre încercările tuturor actorilor statali de a le sparge sistemele. Pentru claritate, precizăm că Microsoft nu observă fiecare atac cibernetic global. De exemplu, compania are o vizibilitate limitată asupra atacurilor care vizează sistemele locale pe care organizaţiile le gestionează singure, cum ar fi atacurile Exchange Server de la începutul acestui an, precum şi atacurile care vizează clienţii altor furnizori de tehnologie. Compania crede că împărtăşirea datelor pe care le avem despre aceste ameninţări este utilă pentru clienţi, decidenţi şi comunitatea de securitate extinsă şi îi invită şi pe alţii să împărtăşească ceea ce observă din perspectiva lor. Vestea bună este că vizibilitatea sa asupra ameninţărilor şi capacitatea de a ajuta la oprirea acestora vor continua să crească pe măsură ce mai multe organizaţii migrează către sisteme de tip cloud.
Criminalitatea cibernetică
Criminalitatea cibernetică - în special de tip ransomware - rămâne o problemă gravă care continuă să se extindă, după cum reiese din Raportul Microsoft Digital Defense din acest an. Dar, în timp ce actorii statali vizează în principal victimele care deţin informaţii utile, infractorii cibernetici vizează victimele cu bani. Drept urmare, ţintele au adesea un profil diferit. Atacurile cibernetice asupra infrastructurilor critice - cum ar fi atacul de tip ransomware asupra Colonial Pipeline - ies adesea în evidenţă. Cu toate acestea, primele cinci domenii vizate în ultimul an, observate pe baza implicării echipei Detection and Rapid Response Team (DART), din cadrul Microsoft, în cazuri de ransomware, sunt retail-ul (13%), serviciile financiare (12%), industria de producţie (12%), autorităţile (11%) şi asistenţa medicală (9%). Statele Unite reprezintă, de departe, cea mai vizată naţiune care este ţintă pentru de trei ori mai multe atacuri de tip ransomware decât următoarea cea mai vizată ţară. Astfel, din acest punct de vedere, SUA sunt urmate de China, Japonia, Germania şi Emiratele Arabe Unite.
În ultimul an, economia "cybercrime-as-a-service" a trecut de la o industrie incipientă, dar cu creştere rapidă, la o industrie matură de natură criminală. Astăzi, oricine, indiferent de cunoştinţele tehnice, poate accesa o piaţă online robustă pentru a achiziţiona gama de servicii necesare pentru a executa atacuri în orice scop. Piaţa are trei componente. În primul rând, pe măsură ce cererea a crescut, infractorii se concentrează din ce în ce mai mult pe crearea de kit-uri specializate de produse pentru infectare gata să fie folosite, precum şi pe creşterea automatizării, ceea ce duce la reducerea costurilor şi creşterea volumului. Există kit-uri care se vând la preţul de doar 66 USD. În al doilea rând, altă categorie de furnizori pun pe piaţă credenţiale compromise, necesare pentru a accesa sistemele victimă şi a implementa kit-urile. De asemenea, experţii din cadrul Microsoft au remarcat credenţiale care se vând pentru sume de la 1 USD la 50 USD fiecare, în funcţie de valoarea percepută a ţintei. În al treilea rând, serviciile de escrow cu criptomonede servesc drept brokeri între cumpărători şi vânzători pentru a asigura garanţii că credenţialele şi kit-urile au performanţele corespunzătoare ofertei. De asemenea, specialişii au identificat şi kit-uri sofisticate care nu doar că furnizează date despre victimă persoanei care a achiziţionat şi a implementat kit-ul, ci şi furnizează în secret date direct entităţii care a creat kit-ul.
Atacurile tip ransomware continuă să fie una dintre cele mai mari ameninţări de criminalitate cibernetică şi, în ultimul an, au continuat să evolueze şi au devenit şi mai disruptive. În loc să se concentreze asupra atacurilor automate care se bazează pe volum şi cereri de valoare redusă pentru a genera profit, ransomware-ul cu operare umană foloseşte informaţii obţinute din surse online, sustrage şi studiază documentele financiare şi de asigurare ale victimei şi cercetează reţelele compromise pentru a selecta ţintele şi a stabili cereri de răscumpărare de valoare mult mai ridicată.
Combaterea criminalităţii cibernetice în mediul de lucru de tip hibrid
Pe măsură ce ameninţările online cresc în volum, grad de sofisticare şi impact, cu toţii trebuie să luăm măsuri pentru a consolida prima linie de apărare. Implementarea de măsuri fundamentale de "igienă" cibernetică - asemenea periatului dinţilor pentru a vă proteja împotriva cariilor sau cuplării centurii de siguranţă pentru a vă proteja viaţa - sunt paşi de bază pe care trebuie să-i facem cu toţii.
Mai puţin de 20% dintre clienţii Microsoft utilizează funcţii puternice de autentificare, cum ar fi multi-factor authentication (MFA). Compania oferă această funcţie gratuit, iar organizaţiile o pot activa ca mod de lucru prestabilit pentru utilizatorii lor. De fapt, dacă organizaţiile doar ar aplica MFA, ar folosi sisteme anti-malware şi şi-ar menţine sistemele actualizate, ar fi protejate de peste 99% din atacurile pe care le vedem astăzi.
Desigur, companiile de tehnologie precum Microsoft joacă un rol important în dezvoltarea de software securizat, implementarea de produse şi servicii avansate de securitate cibernetică pentru acei clienţi care doresc să le implementeze şi detectarea şi oprirea ameninţărilor. Însă organizaţiile care iau măsuri de bază pentru a se proteja vor merge mai departe decât cele mai sofisticate măsuri pe care companiile tehnologice şi autorităţile le-ar putea adopta pentru a proteja. Vestea bună este că, în ultimele 18 luni, s-a văzut o creştere cu 220% a utilizării de mijloace puternice de autentificare, deoarece companiile s-au preocupat să îşi sporească securitatea pentru lucrul la distanţă. Vestea proastă este că mai avem un drum lung de parcurs. O parte a soluţiei trebuie să fie formarea mai multor profesionişti în domeniul securităţii cibernetice, care pot ajuta organizaţiile de toate tipurile să rămână în siguranţă, şi compania va avea mai multe de împărtăşit despre munca noastră în acest domeniu în următoarele săptămâni
Există trei tendinţe care ne oferă, de asemenea, speranţă:
În primul rând, guvernul SUA a luat măsuri fără precedent pentru a face paşi în ce priveşte securitatea cibernetică folosind legi şi reglementări deja finalizate. Ordinul executiv anunţat în luna mai a ajuns la un nivel de reglementare ridicat pentru a face guvernul federal al SUA, şi cei cu care lucrează, un mediu mai sigur, iar Casa Albă (care a preluat conducerea în a stabili un parteneriat cu sectorul privat în mijlocul atacurilor Exchange Server, efectuate de HAFNIUM anul acesta), a stabilit un nou standard pentru colaborarea legată de incidente.
În al doilea rând, autorităţile din întreaga lume introduc şi adoptă noi legi care impun cerinţe precum raportarea obligatorie atunci când organizaţiile descoperă atacuri cibernetice, astfel încât agenţiile guvernamentale competente să înţeleagă natura problemei şi să poată investiga incidentele folosindu-şi resursele.
În al treilea rând, atât autorităţile, cât şi companiile comunică în mod voluntar atunci când sunt victime ale unor atacuri. Această transparenţă îi ajută pe toţi să înţeleagă mai bine problema şi permite un angajament sporit din partea autorităţilor şi a celor care au competenţa de a oferi un prim răspuns la incidente.
Tendinţele sunt clare: actorii statali folosesc din ce în ce mai mult şi vor folosi în continuare atacuri cibernetice pentru orice obiective politice ar avea, indiferent că este vorba despre spionaj, perturbarea activităţii sau distrugere. Microsoft anticipează că mai multe ţări se vor alătura listei celor care se angajează în operaţiuni cibernetice ofensive şi că acestea vor deveni mai îndrăzneţe, persistente şi dăunătoare, cu excepţia cazului în care ar exista consecinţe mai grave. Şi piaţa criminalităţii cibernetice va continua să devină mai sofisticată şi mai specializată, cu excepţia cazului în care ne concentrăm cu toţii eforturile pentru a o opri. Se lucrează mai mult ca niciodată pentru a contracara aceste preocupări, dar va trebui să ne asigurăm că ele vor rămâne în topul priorităţilor pe agendele naţionale şi internaţionale în următorii ani.